Ho creato un certificato di letcrypt.org utilizzando letsencrypt run
che funziona bene come certificato SSL su apache2
. Come posso creare un altro certificato server firmato (e quindi fidato) dal certificato di letsencrypt.org?
Ho provato a creare un CSR con
openssl req -new -key file.key -out file.csr
che presumo di poter firmare con
openssl x509 -extensions server_cert -req -in file.csr -CA /etc/letsencrypt/live/[domain name]/fullchain.pem -CAkey /etc/letsencrypt/live/[domain name]/privkey.pem -CAcreateserial -out file.pem -days 500 -sha256
Il risultato è SEC_ERROR_INADEQUATE_KEY_USAGE
in firefox
47.0 su Ubuntu 16.04.
Presumo che il certificato risultante sia attendibile come il certificato di letsencrypt.org poiché la catena di fiducia non dovrebbe essere infranta. Il certificato da creare non è necessario. Voglio crearlo allo scopo di imparare nel caso in cui questa domanda non rivelasse che sto richiedendo qualcosa di impossibile.